WordPress Güvenliği

WordPress Sitelerinde Yapılan 10 Büyük Güvenlik Hatası

WordPress Sitelerinde Yapılan 10 Büyük Güvenlik Hatası

WordPress’te güvenlik hataları yapmak kolaydır. WordPress güvenliğinizdeki en yaygın hatalar, güncel olmayan bilgilere, yaygın WordPress güvenlik mitlerine veya WordPress en iyi güvenlik uygulamalarını bilmemeye dayanabilir.

WordPress’in kendisi güvenli olsa da, WordPress güvenlik hatalarından kaçınmak site sahiplerinin biraz çaba göstermesini gerektirir. Bu yazıda, en büyük 10 WordPress güvenlik hatasını, bunlardan nasıl kaçınılacağına dair ipuçlarıyla ele alacağız.

[lwptoc]

WordPress sunucunuzun kalitesinden, kullandığınız temalara ve eklentilere kadar WordPress yönetici giriş bilgilerinize kadar her şeyi ele alacağız.

1. Yetersiz Hosting Seçimi

Tüm web barındırıcıları eşit yaratılmamıştır ve yalnızca fiyat üzerinden birini seçmek, WordPress güvenlik hataları nedeniyle uzun vadede size çok daha pahalıya mal olabilir.

Çoğu paylaşılan barındırma ortamı güvenlidir ancak bazıları kullanıcı hesaplarını uygun şekilde ayırmaz. Kullanıcı hesapları gerektiği gibi ayrılmamışsa, güvenliği ihlal edilmiş tek bir hesap, bu paylaşılan sunucudaki her web sitesini kapatabilir.

 

Ana makineniz, en son güvenlik yamalarını uygulama ve sunucu ve dosya güvenliğiyle ilgili diğer önemli barındırma güvenliği en iyi uygulamalarını izleme konusunda dikkatli olmalıdır.

Zayıf Hosting Seçmekten Nasıl Kaçınılır

Web siteniz için sağlam bir güvenlik kaydına sahip saygın bir hosting seçin.

2. WordPress Yedekleme Planına Sahip Olmama

WordPress-YedeklemeEklentileri

Yedeklemeler ve güvenlik, birbirleriyle ilişkili gibi görünmüyor. Ancak bize güvenin, bir fidye yazılımı saldırısından sonra WordPress web sitenizin yedeğini almak, sitenizin hayatını kurtarabilir.

En İyi 5 WordPress Yedekleme Eklentileri (2020) yazımızı okuyarak en iyi yedekleme eklentisini seçebilirsiniz.

Fidye yazılımı saldırısı, bir bilgisayar korsanının web sitenizin dosyalarını şifreleyerek onları ve web sitenizi erişilemez hale getirmesidir. Web sitenize yeniden erişim kazanmak için, dosyaların şifresini çözmek için bir anahtara ihtiyacınız vardır. Bilgisayar korsanı, ağır bir ücret karşılığında anahtarı size vermekten fazlasıyla mutlu olacaktır.

WordPress web sitenizin yedeğini almak, web sitenizi fidye için tutulmadan önceki bir duruma geri almanıza olanak tanır. Talep edilen fidyeyi ödemek zorunda kalmadan web sitenize yeniden erişim sağlarısınız.

Web Sitesi Yedeklemesi Olmaması Nasıl Önlenir

Web sitenizi düzenli olarak yedeklemek için bir program oluşturun. En İyi 5 WordPress Yedekleme Eklentileri (2020)

3. Güvenli Olmayan Girişler

WordPress girişi, herhangi bir WordPress sitesinin en çok saldırıya uğrayan ve potansiyel olarak en savunmasız kısmıdır. Varsayılan olarak, bir kişinin yapabileceği başarısız oturum açma girişimlerinin sayısını sınırlamak için WordPress kendine ait bir eklentisi yoktur. Bir saldırganın yapabileceği başarısız oturum açma girişimlerinin sayısında bir sınırlama olmaksızın, başarılı olana kadar sonsuz sayıda kullanıcı adı ve parola denemeye devam edebilirler.

wordpress-guvenlik

WordPress giriş bilgileriniz, evinizin ön kapısına çok benzer. Ön kapınızda bir kilit olmadan, herhangi birinin doğrudan evinize girmesi, mobilyalarınızı hareket ettirmeye başlaması, eşyalarınızı parçalaması ve TV’nizi çalması kolay olacaktır. Hırsız olabilecek birinin evinize girmesini zorlaştırmak için ön kapınıza bir kilit eklemek mantıklıdır.

Güvenli Olmayan Bir Oturum Açmayı Önleme

Geçersiz oturum açma girişimlerini sınırlamak için bir WordPress güvenlik eklentisi kullanın.

4. Otomatik Bot Saldırılarına Karşı Koruma

Bot, belirli bir görev listesini gerçekleştirmek üzere programlanmış bir yazılım parçasıdır. Geliştiricinin, başlamasını söylemesine gerek kalmadan bir botun otomatik olarak izleyeceği bir dizi talimat oluşturur. Botlar, tekrarlayan ve sıradan görevleri bizden çok daha hızlı gerçekleştirir.

Bu botlardan bazıları, aşağıdaki gibi hain nedenlerle programlanmıştır:

Brute Force .

İçerik  Kazıma Botları , web sitenizin içeriğini izniniz olmadan indirecek şekilde programlanmıştır. Bot, SEO’larını iyileştirmek ve site trafiğinizi çalmak için saldırganın web sitesinde kullanmak üzere içeriği çoğaltabilir.

Spambot’lar , ziyaretçilerinizi kötü niyetli web sitelerine gönderme umuduyla evden çalışırken milyoner olma vaatleriyle yorumlarınızı karıştırır.

Otomatik Bot Saldırılarından Nasıl Kaçınılır?

Web sitenizde Google reCAPTCHA gibi otomatik bot korumasını kullanarak bu WordPress güvenliğini artırabilirsiniz.

5. Eklentilerin, Temaların veya WordPress Çekirdeğinin Hassas Sürümlerini Kullanma

Savunmasız WordPress eklentileri veya temaları, yapabileceğiniz en büyük WordPress güvenlik hatasıdır. Yazılımı güncel tutmak, herhangi bir güvenlik stratejisinin önemli bir parçasıdır ve bu, WordPress çekirdeğini, temalarınızı ve eklentilerinizi içerir. Sürüm güncellemeleri yalnızca hata düzeltmeleri ve yeni özellikler için değildir. Güncellemeler ayrıca kritik güvenlik yamalarını da içerebilir. Telefonunuzu, bilgisayarınızı, sunucunuzu, yönlendiricinizi veya web sitenizi bu yama olmadan saldırılara açık bırakıyorsunuz.

6. Zayıf Kullanıcı Güvenliği

Zayıf kullanıcı güvenliği, büyük bir WordPress güvenlik hatasıdır. Basitçe söylemek gerekirse: Zayıf bir parolaya sahip tek bir WordPress yönetici kullanıcısı, uyguladığınız tüm diğer web sitesi güvenlik önlemlerini zayıflatabilir. Bu nedenle kullanıcı güvenliği, herhangi bir WordPress güvenlik stratejisinin önemli bir parçasıdır.

Varsayılan olarak WordPress , WP veritabanında depolanan kullanıcı şifrelerini hashlemek için MD5 kullanır . Yani, bu tabloya göre, Terahash 8 karakterli bir şifreyi neredeyse anında kırabilir. Bu sadece çok etkileyici değil, aynı zamanda gerçekten korkutucu.

Daha da kötüsü, insanların% 41’i şifreleri yeniden kullanmanın yetersiz bir uygulama olduğunu bilse de, insanların% 59’u hala şifrelerini her yerde yeniden kullanıyor!

Bilgisayar korsanları, saldırıya uğrayan ve sözlük saldırısı adı verilen bir kaba kuvvet biçimini kullanır. Sözlük saldırısı, veritabanı dökümlerinde görülen yaygın olarak kullanılan şifrelerle bir WordPress web sitesine girme yöntemidir.

Zayıf Kullanıcı Güvenliği Nasıl Önlenir

Zayıf kullanıcı güvenliği ile ilgili WordPress güvenlik hatasından kaçınmanın en iyi yolu, güçlü bir parola politikası oluşturmak ve iki faktörlü kimlik doğrulama kullanmaktır.

İki faktörlü kimlik doğrulama, iki ayrı doğrulama yöntemi gerektirerek bir kişinin kimliğini doğrulama sürecidir. Google, blogunda  iki faktörlü kimlik doğrulama kullanmanın otomatik bot saldırılarını% 100 durdurabileceğini paylaştı  .

7. Şifrelenmemiş İletişim (SSL Yok)

Web sitenizdeki iletişimleri şifrelememek ciddi bir WordPress güvenlik hatasıdır. Çevrimiçi bir satın alma işlemi yaptığımızda, tarayıcınız ve çevrimiçi mağaza arasında iletişim gerçekleşir. Örneğin, kredi kartı numaramızı tarayıcımıza girdiğimizde, tarayıcımız numarayı çevrimiçi mağaza ile paylaşacaktır. Mağaza ödemeyi aldıktan sonra, tarayıcınıza satın alma işleminizin başarılı olduğunu bildirmesini söyler.

Tarayıcımız ile mağazanın sunucusu arasında paylaşılan bilgiler hakkında akılda tutulması gereken bir şey, bilgilerin geçiş sırasında birkaç durak oluşturmasıdır. İletişim şifrelenmemişse, bir bilgisayar korsanı, mağazanın sunucusunun son hedefine ulaşmadan önce kredi kartımızı çalabilir.

Şifrelemenin nasıl çalıştığını daha iyi anlamak için satın aldığımız ürünlerin nasıl teslim edileceğini düşünün. Bir çevrimiçi satın alma işleminin teslimat durumunu daha önce takip ettiyseniz, siparişinizin evinize gelmeden önce birkaç durakta kaldığını görürdünüz. Satıcı satın alma işleminizi doğru bir şekilde paketlemediyse, satın aldığınızı insanların görmesi kolay olurdu.

Şifrelenmemiş İletişimden Nasıl Kaçınılır

Web sitenizdeki iletişimi şifrelemek için bir SSL sertifikasına ihtiyacınız olacak. WordPress web sitenizde SSL yoksa yapmanız gereken ilk şey, barındırma sağlayıcınızdan ücretsiz bir SSL sertifikası ve yapılandırması sağlayıp sağlamadıklarını sormaktır.

Cloudflare, WordPress  web siteleri için ücretsiz bir paylaşılan SSL sertifikası sunar  . Paylaşılan bir SSL sertifikasına sahip olmamayı tercih ediyorsanız ve komut satırından memnunsanız ,  CertBot  mükemmel bir seçenektir. Certbot yalnızca  sizin için Let’s  Encrypt kullanarak ücretsiz bir SSL sertifikası oluşturmakla kalmaz, aynı zamanda sizin için sertifikanın yenilenmesini de otomatik olarak yönetir.

8. Yetersiz Güvenlik Kaydı ve İzleme

Web sitenizde yetersiz oturum açma, OWASP  web uygulaması güvenlik risklerinin ilk 10’una giren yeterince büyük bir WordPress güvenlik hatasıdır  . Günlüğe kaydetme, WordPress güvenlik stratejinizin önemli bir parçasıdır. Doğru davranışı izlemek, saldırıları tanımlamanıza ve durdurmanıza, bir ihlali tespit etmenize ve başarılı bir saldırıdan sonra web sitenize verilen hasara erişmenize ve bunları onarmanıza yardımcı olur.

Yetersiz kayıt ve izleme, bir güvenlik ihlalinin tespit edilmesinde gecikmeye neden olabilir. Çoğu ihlal araştırması, bir ihlali tespit etme süresinin 200 günden fazla olduğunu gösteriyor! Bu süre, bir saldırganın diğer sistemleri ihlal etmesine, daha fazla veriyi değiştirmesine, çalmasına veya yok etmesine izin verir.

Yetersiz Günlük Kaydı

Bu WordPress güvenlik hatasını önlemek için web sitenize güvenlik günlüğü ekleyin.  WordPress’in bir günlük kaydı sistemi oluşturmak için sağladığı geliştirici işlevlerinden ve filtrelerinden bazılarını kullanabilirsiniz  , ancak bir güvenlik günlüğü başlatmanın en kolay yolu bir WordPress güvenlik eklentisi yüklemektir.

9. Kullanılmayan Eklentiler ve Temalar

Web sitenizde kullanılmayan veya etkin olmayan eklentilere ve temalara sahip olmak, büyük bir WordPress güvenlik hatasıdır. Web sitenizdeki her kod parçası, bir bilgisayar korsanı için potansiyel bir giriş noktasıdır.

Geliştiricilerin eklentilerinde ve temalarında JS kitaplıkları gibi üçüncü taraf kodları kullanmaları yaygın bir uygulamadır. Ne yazık ki, kitaplıklar düzgün bir şekilde korunmazsa, saldırganların web sitenizi hacklemek için yararlanabilecekleri güvenlik açıkları oluşturabilirler.

Eklentiler ve Temalardan Nasıl Kaçınılır

Web sitenizdeki erişim noktalarının ve çalıştırılabilir kodların sayısını sınırlandırmak için WordPress sitenizdeki gereksiz eklentileri ve temaları kaldırın ve tamamen silin.

Ek olarak, terk edilmiş WordPress eklentilerini kullanmaktan kaçının. WordPress sitenizde yüklü olan herhangi bir eklenti altı ay veya daha uzun süredir güncelleme almadıysa.

10. Güvenilmeyen Kaynaklardan Yazılım Yükleme

Güvenilir olmayan kaynaklardan yazılım yüklemek, WordPress güvenlik hatası oluşturmanın en hızlı yollarından biridir. Ticari eklentilerin “geçersiz” sürümüne karşı dikkatli olmalısınız. Çoğu zaman, profesyonel eklentilerin bu ücretsiz veya büyük ölçüde indirimli sürümleri kötü amaçlı kod içerir.

Kötü amaçlı yazılım yükleyen kişi sizseniz, WordPress sitenizi nasıl kilitlediğiniz önemli değildir.

Güvenilmeyen Kaynaklardan Yazılım Nasıl Önlenir

Yalnızca WordPress.org’dan, iyi bilinen ticari depolardan veya doğrudan saygın geliştiricilerden aldığınız yazılımı yüklemelisiniz.

WordPress eklentisi veya teması geliştiricinin web sitesinde dağıtılmıyorsa, eklentiyi indirmeden önce durum tespiti yapmak isteyeceksiniz. Ürünlerini ücretsiz veya indirimli bir fiyata sunan web sitesiyle herhangi bir şekilde bağlantılı olup olmadıklarını görmek için geliştiricilere ulaşın.

Özet: En Büyük 10 WordPress Güvenlik Hatasının Açıklanması

Gördüğümüz gibi, birçok potansiyel WordPress güvenlik hatası var. Neyse ki, bizden biraz çaba sarf ederek tüm güvenlik hataları kolayca önlenebilir.

Basit Bir WordPress Güvenlik Kontrol Listesi

Çoğu WordPress güvenlik açığı, WordPress güvenliğine proaktif bir yaklaşım benimseyerek azaltılabilir. Özetlemek gerekirse, işte izlenecek basit bir WordPress güvenlik kontrol listesi:

  • 1. Kaliteli hosting seçin.
  • 2. Bir yedekleme planı oluşturun.
  • 3. Geçersiz oturum açma girişimlerini sınırlayın
  • 4. Otomatik bot koruması ekleyin.
  • 5. Savunmasız yazılımları kullanmaktan kaçının.
  • 6. Güçlü parolalar ve 2fa kullanın.
  • 7. SSL ile iletişimi şifreleyin.
  • 8. WordPress güvenlik günlüğü ekleyin.
  • 9. Kullanılmayan eklentileri ve temaları kaldırın.
  • 10. Yalnızca güvenilir kaynaklardan yazılım yükleyin.

Splash Data tarafından derlenen bir listede, tüm veri dökümlerinde bulunan en yaygın şifre 123456 idi. Veri dökümü,  internette bir yere atılan kullanıcı şifreleri ile dolu, saldırıya uğramış bir veri tabanıdır  . Veri dökümlerinde en yaygın şifre 123456 ise, web sitenizdeki kaç kişinin zayıf bir şifre kullandığını hayal edebiliyor musunuz?

Hacker’ın araçları daha iyi hale geliyor ve şifreleri hiç olmadığı kadar hızlı atlayabiliyorlar. Örneğin, yüksek performanslı bir şifre kırma şirketi olan Terahash tarafından oluşturulan bir grafiğe bakalım . Grafikleri, 448x RTX 2080’lerden oluşan bir hashstack kümesi kullanarak bir şifreyi kırmanın ne kadar sürdüğünü gösteriyor.

Bilgisayar korsanları, kullanıcıların güncelleme yapmadığını bildikleri için yamalı güvenlik açıklarını hedefler (web sitenizdeki eklentiler ve temalar dahil). Güvenlik açıklarını yamalandıkları gün kamuya açıklamak bir endüstri standardıdır. Bir güvenlik açığı genel olarak duyurulduktan sonra, güvenlik açığı, yazılımın güncel olmayan ve yamalanmamış sürümleri için “bilinen bir güvenlik açığı” haline gelir. Güvenlik açıkları bilinen yazılımlar, bilgisayar korsanları için kolay bir hedeftir.

Hackerlar kolay hedefleri sever. Bilinen güvenlik açıklarına sahip eski bir yazılıma sahip olmak, bir bilgisayar korsanına WordPress web sitenize girmek için adım adım talimatlar vermek gibidir.

Bir yamanın mevcut olduğu ancak uygulanmadığı savunmasız bir eklentiye veya temaya sahip olmak, saldırıya uğramış WordPress web sitelerinin bir numaralı suçlusu.

Savunmasız Eklenti ve Temaları Kullanmaktan Nasıl Kaçınılır

Savunmasız yazılımların WordPress güvenlik hatasını önlemek için tüm eklentilerinizi ve temalarınızı güncel tutun.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir